cum se verifică semnătura PGP a Software-ului descărcat pe Linux
PGP, care înseamnă Confidențialitate destul de bună, este un software de criptografie cu cheie publică. PGP poate fi folosit pentru a cripta și semn de comunicare de date. În acest tutorial, vom analiza cum să verificăm semnătura PGP a software-ului descărcat.
utilizatorii Linux pot instala în siguranță software-ul din depozitele distribuției lor. Dar există și momente în care trebuie să descărcați și să instalați software de pe site-ul web. Cum puteți fi sigur că software-ul pe care l-ați descărcat nu a fost modificat?
unii autori de software își semnează software-ul folosind un program PGP, cum ar fi GPG, care este o implementare software gratuită a standardului openPGP. În acest caz, puteți verifica integritatea software-ului folosind GPG.
procesul este relativ simplu:
- descărcați cheia publică a autorului software-ului.
- verificați amprenta cheii publice pentru a vă asigura că este cheia corectă.
- importați cheia publică corectă în cheia publică GPG.
- Descărcați fișierul de semnătură al software-ului.
- utilizați cheia publică pentru a verifica semnătura PGP. Dacă semnătura este corectă, atunci software-ul nu a fost modificat.
vom folosi VeraCrypt ca exemplu pentru a vă arăta cum să verificați semnătura PGP a software-ului descărcat.
exemplu: verificați semnătura PGP a VeraCrypt
deși VeraCrypt este un software open source, acesta nu este inclus în depozitul Ubuntu sau al altei distribuții Linux. Putem descărca VeraCrypt Linux installer de pe site-ul oficial.
alternativ, puteți descărca programul de instalare VeraCrypt în terminal folosind comanda de mai jos.
wget https://launchpadlibrarian.net/289850375/veracrypt-1.19-setup.tar.bz2
pe pagina de descărcare VeraCrypt, puteți găsi, de asemenea, cheia publică PGP și linkul de descărcare a semnăturii PGP. Descărcați aceste două fișiere. Alternativ, le puteți descărca în terminal folosind comanda de mai jos.
cheie publică PGP
wget https://www.idrix.fr/VeraCrypt/VeraCrypt_PGP_public_key.asc
fișier semnătură PGP
wget https://launchpad.net/veracrypt/trunk/1.19/+download/veracrypt-1.19-setup.tar.bz2.sig
înainte de a face ceva cu cheia publică, trebuie să verificați întotdeauna amprenta cheii pentru a vedea dacă este cheia corectă. Afișați amprenta cheii folosind comanda de mai jos.
gpg --with-fingerprint VeraCrypt_PGP_public_key.asc
a doua linie de ieșire este amprenta cheii.
comparați-o cu amprenta publicată pe site-ul VeraCrypt.
după cum puteți vedea, cele două amprente sunt identice, ceea ce înseamnă că cheia publică este corectă. Astfel, puteți importa cheia publică în brelocul dvs. public cu:
gpg --import VeraCrypt_PGP_public_key.asc
acum verificați semnătura folosind comanda de mai jos. Trebuie să specificați fișierul de semnătură și programul de instalare a software-ului, ale cărui nume sunt de obicei identice, numai cu extensie de fișier diferită. Aceasta este o semnătură detașată, ceea ce înseamnă că semnătura și software-ul sunt separate una de cealaltă.
gpg --verify veracrypt-1.19-setup.tar.bz2.sig veracrypt-1.19-setup.tar.bz2
rezultatul ar trebui să spună „semnătură bună”.
semnătura este o valoare hash, criptată cu cheia privată a autorului software-ului. GPG utilizează cheia publică pentru a decripta valoarea hash, apoi se calculează valoarea hash a VeraCrypt installer și compara cele două. Dacă aceste două valori hash se potrivesc, atunci semnătura este bună și software-ul nu a fost modificat.
dacă GPG vă spune că este o semnătură proastă, atunci programul de instalare a software-ului a fost modificat sau corupt.
importarea cheii publice dintr-o sursă de încredere
rețineți că, dacă autorul software-ului vă spune ID-ul cheii publice pe site-ul web, atunci puteți importa cheia publică cu:
gpg --recv-keys <key-ID>
apoi afișați amprenta cu:
gpg --fingerprint <key-ID>
și comparați amprenta de la ieșire cu cea publicată pe site-ul web. Acest lucru este mai sigur deoarece cheia publică este importată de pe un server de chei publice, care implicit este setat la hkp://keys.gnupg.net în fișierul ~/.gnupg/gpg.conf. Deoarece toate serverele cheie majore comunică între ele și sincronizează tastele, deci nu trebuie să modificați valoarea implicită.
asta e!
sper că acest tutorial v-a ajutat să verificați semnătura PGP a descărcărilor de software. Ca întotdeauna, dacă ați găsit acest post util, apoi abona la newsletter-ul nostru gratuit sau urmați-ne pe Google+, Twitter sau ca pagina noastră de Facebook.